木馬的出現(xiàn)讓我們損失的不僅僅是電腦控制權(quán)，更多的是隱私、金錢甚至是名譽(yù)。防范木馬已經(jīng)成為安全領(lǐng)域中最重要的問(wèn)題之一?？赡壳案鞔髿⒍緩S商還停止在病毒庫(kù)查殺的方式上，讓我們總是慢木馬一步。而動(dòng)輒手工清除木馬的教程都要幾大篇，其實(shí)只要我們具備一些基本的安全知識(shí)，完全可以防住木馬攻擊。

一、認(rèn)識(shí)木馬

從本質(zhì)上說(shuō)，木馬就是一種遠(yuǎn)程控制軟件。不過(guò)遠(yuǎn)程控制軟件也有分類。一般來(lái)說(shuō)就是名正言順的幫你遠(yuǎn)程管理和設(shè)置電腦的軟件，如Windows XP自帶的遠(yuǎn)程協(xié)助功能，這類軟件在運(yùn)行時(shí)，都會(huì)在系統(tǒng)任務(wù)欄中出現(xiàn)，明確的告訴用戶當(dāng)前系統(tǒng)處于被控制狀態(tài)；而木馬則會(huì)偷偷潛入你的電腦進(jìn)行破壞，并通過(guò)修改注冊(cè)表、捆綁在正常程序上的方式運(yùn)行，使你難覓其蹤跡。

一般一臺(tái)個(gè)人用的系統(tǒng)在開(kāi)機(jī)后最多只有137、138、139三個(gè)端口。若上網(wǎng)沖浪會(huì)有其他端口，這是本機(jī)與網(wǎng)上主機(jī)通訊時(shí)打開(kāi)的，IE一般會(huì)打開(kāi)連續(xù)的端口:1025，1026，1027等，QQ會(huì)打開(kāi)4000、4001……等端口，我們可以使用netstat -an命令查看系統(tǒng)當(dāng)前的端口狀態(tài)。

木馬與普通遠(yuǎn)程控制軟件另外一個(gè)不同點(diǎn)在于，木馬實(shí)現(xiàn)的遠(yuǎn)程控制功能更為豐富，其不僅能夠?qū)崿F(xiàn)一般遠(yuǎn)程控制軟件的功能，還可以破壞系統(tǒng)文件、記錄鍵盤動(dòng)作、盜取密碼、修改注冊(cè)表和限制系統(tǒng)功能等。而且你還可能成為養(yǎng)馬者的幫兇，養(yǎng)馬者還可能會(huì)使用你的機(jī)器去攻擊別人，讓你來(lái)背黑鍋。

二、木馬傳播途徑

一般來(lái)說(shuō)，木馬會(huì)通過(guò)以下幾種方式傳播：

最常見(jiàn)的就是利用聊天軟件，例如你的QQ好友中了某種木馬，這個(gè)木馬很有可能在好友的機(jī)器上運(yùn)行QQ，并發(fā)一條消息給你，誘使你打開(kāi)某個(gè)鏈接或運(yùn)行某個(gè)程序，如果你不慎點(diǎn)擊或運(yùn)行，木馬就會(huì)偷偷跑進(jìn)來(lái)。

另外一種流行的方法是文件捆綁，如與圖片文件捆綁，當(dāng)你瀏覽圖片的時(shí)候，木馬也會(huì)偷偷溜達(dá)進(jìn)來(lái)；網(wǎng)頁(yè)里養(yǎng)馬也是一種常見(jiàn)的方法，黑客把做好的木馬放到網(wǎng)頁(yè)上，并誘使你打開(kāi)，你只要瀏覽這個(gè)頁(yè)面就可能中招。

最后一種常用方法是網(wǎng)吧種植，網(wǎng)吧的機(jī)器安全性差，黑客還可以直接在機(jī)器上做手腳，所以網(wǎng)吧中帶馬的機(jī)器很多。在網(wǎng)吧上網(wǎng)時(shí)受到木馬攻擊的幾率也很大。而且上邊這些方法可能還會(huì)聯(lián)合行動(dòng)，組合在一起對(duì)你進(jìn)行攻擊。

還有一種是與網(wǎng)頁(yè)結(jié)合，利用代碼把木馬嵌入到網(wǎng)頁(yè)，當(dāng)訪問(wèn)網(wǎng)頁(yè)時(shí)就會(huì)中招

三、檢測(cè)木馬

對(duì)于本地電腦，可以通過(guò)以下方式查看是否含有木馬：

首先是查看開(kāi)放端口，作為遠(yuǎn)程控制軟件，木馬同樣具備遠(yuǎn)程控制軟件的特征。為了與其主人聯(lián)系，它必須給自己開(kāi)道門（即端口），因此我們可以通過(guò)查看機(jī)器開(kāi)放的端口，來(lái)判斷是否有木馬經(jīng)過(guò)。通過(guò)上面說(shuō)到的netstat -an命令即可，其中“ESTABLISHED”表示已經(jīng)建立連接的端口“LISTENING”表示打開(kāi)并等待別人連接的端口。在打開(kāi)端口中尋找可疑分子，如7626（冰河木馬），54320（Back Orifice 2000）等。

然后查看注冊(cè)表，為了實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)等功能，木馬都會(huì)對(duì)注冊(cè)表進(jìn)行修改，我們可以通過(guò)查看注冊(cè)表來(lái)尋找木馬的痕跡，在“運(yùn)行”中輸入“regedit”，回車后打開(kāi)注冊(cè)表編輯器，

定位到：HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion \Explorer下，分別打開(kāi)Shell Folders、User Shell Folders、Run、RunOnce和RunServices子鍵，檢查里邊是否有可疑的內(nèi)容。

再定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer下，分別查看上述5個(gè)子鍵中的內(nèi)容。一旦在里邊找到你不認(rèn)識(shí)的程序，就要提高警惕了。

再查看系統(tǒng)配置文件，很多木馬文件都會(huì)修改系統(tǒng)文件，而win.ini和system.ini文件則是被修改最頻繁的兩個(gè)軟件。我們需要對(duì)其進(jìn)行定期體檢。在“運(yùn)行”中輸入“%systemroot%”，回車后會(huì)打開(kāi)“Windows”文件夾，找到里邊的win.ini文件，在里邊搜索 “windows”字段，如果找到形如“load=file.exe，run=file.exe”這樣的語(yǔ)句（file.exe為木馬程序名），就要格外小心了，這很可能是木馬的主程序。類似的，在system.ini文件中搜索“boot”字段，找到里邊的“Shell=ABC.exe”，默認(rèn)應(yīng)為 “Shell=Explorer.exe”，如果是其他程序則也可能是中了木馬。

除此之外，你還可以通過(guò)查看系統(tǒng)進(jìn)程和使用專用木馬檢測(cè)軟件的方法，來(lái)推斷系統(tǒng)中是否存在木馬。

四、木馬防御

mshta.exe是執(zhí)行hta文件的，一些網(wǎng)站上有惡意hta文件都是通過(guò)這個(gè)程序來(lái)運(yùn)行。在系統(tǒng)中搜索mshta.exe文件，將其改名。再在“運(yùn)行”中輸入“%windows%coMMand”，將里邊debug.exe和ftp.exe也改名。

打開(kāi)注冊(cè)表編輯器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ，在里邊找到“Active Setup controls”子鍵（如沒(méi)有需手動(dòng)建立），再在其下創(chuàng)建新子鍵，命名為{6E449683_C509_11CF_AAFA_00AA00 B6015C}，在右側(cè)的空白處單擊鼠標(biāo)右鍵，選擇“新鍵”→“DWORD值”，鍵名為“Compatibility”，設(shè)定鍵值為 “0x00000400”即可